Die USA sind kein sicherer Hafen für Daten europäischer Nutzer – so lautet ein Urteil des Europäischen Gerichtshofs. Die Blankoerlaubnis, Informationen nach Amerika zu schicken, wurde für ungültig erklärt. Viele Nutzer werden im Alltag nichts davon merken, die Firmen schon.

Es ist ein Signal der Europäer für den Datenschutz im Netz: Nutzerdaten können nicht mehr ohne weiteres in die USA übermittelt werden. Während Unternehmen höhere Kosten fürchten, können die Europäer auf einen besseren Schutz ihrer Daten hoffen.

Worin liegt das Problem?

Wer auf Facebook einen bestimmten Film mag, im Onlineshop einkauft oder im Internet etwas sucht, hinterlässt Daten. Solche persönlichen Informationen übermitteln US-Internetfirmen wie Facebook, Google und Amazon, aber zum Teil auch europäische Firmen auf Server in den USA. Wie seit den Enthüllungen von Edward Snowden 2013 bekannt ist, können dort auch US-Geheimdienste und Fahnder großzügig Zugang zu den Daten bekommen. Dabei sind die Hürden deutlich niedriger, als in der EU zulässig ist. Die Standards der Safe-Harbor-Vereinbarung, wonach US-Firmen europäische Datenschutzstandards garantieren, werden verletzt, wie der EU-Gerichtshof entschied. Deshalb erklärte er Safe Harbor für unzulässig.

Können jetzt gar keine personenbezogenen Daten europäischer Internetnutzer mehr in die USA übermittelt werden?

Doch. Die weiterhin gültige europäische Datenschutz-Grundverordnung von 1995 sieht verschiedene Wege vor, wie personenbezogene Informationen von Europäern in andere Länder übermittelt werden können. Etwa durch eine Einwilligung der Nutzer. Dabei müssen die Anbieter als Voraussetzung rechtlich festhalten, dass dort die Rechte der Bürger gewahrt werden – etwa über entsprechende Verträge. Für die Datenübermittlung in die USA wurde das bisher mit Safe Harbor einfach vorausgesetzt, es waren keine weiteren Anstrengungen nötig.

Da das Urteil von einem Verfahren gegen Facebook ausgelöst wurde – kann zumindest das Onlinenetzwerk jetzt keine Daten mehr in die USA übermitteln?

Das ist das Paradoxe an der Situation: Facebook selbst sieht sich von dem Urteil nicht direkt betroffen, weil das Onlinenetzwerk sich seit Jahren nicht auf Safe Harbor verlasse. Stattdessen schloss die europäische Tochter Facebook Irland Verträge mit Facebook in den USA gemäß Vorgaben der Datenschutzverordnung ab. Zugleich schrieben die EuGH-Richter der irischen Datenschutzbehörde aber vor, zu prüfen, ob die Übermittlung der Informationen von Facebook-Nutzern in die USA gestoppt werden müsse – weil dort die Daten nicht ausreichend geschützt seien.

Was heißt das Urteil für die Nutzer aller anderen Internetdienste, die Daten in die USA übermitteln?

Die Nutzer werden das Aus für Safe Harbor in dem Maße spüren, wie die Unternehmen davon betroffen sind. Insgesamt haben sich mehr als 5.000 Unternehmen für eine Datenübermittlung nach Safe Harbor registriert. Unklar ist, wie viele davon sich nur darauf verließen. Experten gehen davon aus, dass nun vor allem auf kleinere Unternehmen ein zusätzlicher Aufwand zukommt, um den Datentransfer rechtlich abzusichern. Denkbar ist, dass US-Unternehmen künftig einer Nachweispflicht unterliegen, wo und wie Daten verarbeitet werden. Es könnten zusätzliche Kosten entstehen, etwa für neue Rechenzentren in der EU.

Was dürfen die nationalen Datenschutzbehörden?

Das Urteil brachte ein Ergebnis, das den Internetfirmen schon vorher große Sorgen bereitete. Bisher konnten sie sich darauf verlassen, dass die Datenschutzbehörden in allen EU-Ländern nichts gegen die Übermittlung von Daten in die USA haben. Das EuGH ermutigte sie jedoch ausdrücklich, die Einhaltung der Rechte von Europäern auch entgegen der Einschätzung der EU-Kommission eigenständig zu prüfen. Onlineanbieter befürchten jetzt, dass sie in jedem Land auf den Prüfstand gestellt werden.

Wie geht es politisch weiter?

Die EU-Kommission und das US-Handelsministerium verhandeln schon seit mehreren Jahren über eine neue Version von Safe Harbor. Nach Informationen aus dem Umfeld der Gespräche gibt es bereits eine Annäherung in mehreren zentralen Fragen. Unter anderem sollen höhere Hürden für den Zugriff auf Daten von EU-Bürgern vorgesehen sein – also keine flächendeckende Überwachung, sondern nur punktueller Zugang. Außerdem sollen europäische Bürger die Möglichkeit bekommen, ihre Rechte in den USA zu vertreten. Das würde Probleme beheben, die Safe Harbor aus Sicht des EuGH ungültig machen.

Was bedeutet das EuGH-Urteil für diese Verhandlungen?

Das ist eine offene Frage. Einerseits wollten EU-Kommission und US-Regierung die Einwände des EuGH gegen Safe Harbor ohnehin ausräumen. Andererseits ist es eine politische Angelegenheit. Und die USA haben bereits deutlich gemacht, dass sie die Rechte der Europäer für ausreichend geschützt halten. (APA, 6.10.2015)